Medidas de segurança para empresas japonesas de e-commerce

Radar
Radar

Combata fraudes com a força da rede da Stripe.

Saiba mais 
  1. Introdução
  2. Why are security measures necessary in ecommerce?
    1. Measures to prevent damage from credit card fraud
    2. Protecting customers’ personal data
    3. The ongoing risk of cyberattacks
  3. Incidentes de segurança comuns que afetam as empresas de e-commerce
    1. Desligamentos do sistema
    2. Alteração do site
    3. Acesso não autorizado
    4. Ransomware
  4. Diretrizes de segurança para sites de e-commerce
  5. Basic security measures for ecommerce sites
    1. Integrate Three-Domain Secure (3D Secure) 2.0 for identity verification
    2. Compliance with Payment Card Industry Data Security Standard (PCI DSS)
    3. Implement credit card fraud detection
  6. Como responder a uma ameaça à segurança no e-commerce
    1. Infecção por vírus ou ransomware
    2. Vazamentos de dados
    3. Desligamento do sistema
  7. Como as empresas de e-commerce no Japão podem melhorar a segurança?
  8. Como o Stripe Radar pode ajudar

Com a crescente popularidade das compras on-line e dos pagamentos digitais, os sites de e-commerce se tornaram uma parte indispensável da vida cotidiana no Japão. No entanto, os riscos de segurança - como fraude de cartão de crédito, vazamento de dados pessoais e ataques cibernéticos - aumentam a cada ano. Muitas empresas de e-commerce lutam para descobrir como lidar com esses problemas devido aos recursos limitados.

Neste artigo, explicamos as medidas básicas de segurança para empresas de e-commerce no Japão e alguns métodos para resposta a pagamento fraudulento e vazamento de informações.

O que há neste artigo?

  • Por que as medidas de segurança são necessárias no e-commerce?
  • Incidentes de segurança comuns que afetam as empresas de e-commerce
  • Diretrizes de segurança para sites de e-commerce
  • Medidas básicas de segurança para sites de e-commerce
  • Como responder a uma ameaça à segurança no e-commerce
  • Como as empresas de e-commerce no Japão podem melhorar a segurança?
  • Como o Stripe Radar pode ajudar

Why are security measures necessary in ecommerce?

As the ecommerce market expands, methods for fraud and cyberattacks become more sophisticated. Damage caused by credit card information attacks become increasingly serious every year. Therefore, security measures must be strengthened.

Measures to prevent damage from credit card fraud

According to the Japan Consumer Credit Association (JCA), credit card fraud losses in 2024 reached a record high of ¥‎55.5 billion. This amount grew by more than double in just five years. This shows that fraud is increasing in proportion to the growth of the ecommerce market.

The majority of these losses (i.e., over 90%) were caused by credit card number theft on ecommerce sites. This theft is carried out through phishing emails, fake shopping sites, and hacking into ecommerce operating systems. Without basic countermeasures, a reduction in these losses is unlikely. The Credit Card Security Guidelines also require ecommerce businesses to implement specific measures.

Protecting customers’ personal data

Ecommerce sites handle a lot of credit card information. In addition, they handle personal information, such as names, addresses, telephone numbers, and email addresses. When personal information leaks, the damage is not limited to a single person. Typically, a large amount of customer data leaks, resulting in major financial damage and a hit to the business’s reputation.

Cardholders who become victims of fraud due to number theft could receive unexpected charges and could also feel anxious and dissatisfied about the information leak. This could cause them to lose trust in the ecommerce site. To restore trust, the business should spend time and resources on customer support and investigations. However, data leaks can damage the credibility and profitability of the business as a whole.

The ongoing risk of cyberattacks

Ecommerce sites are attractive targets for cyberattacks. This is because they can be accessed any time and include a large amount of transaction data. A report from the Ministry of Economy, Trade and Industry (METI) highlights that unauthorized access, phishing, and payment system hacks are on the rise. In recent years, attack methods have become increasingly sophisticated. They have expanded to include automated fraud methods known as “credit master attacks” and phishing scams using artificial intelligence (AI).

Incidentes de segurança comuns que afetam as empresas de e-commerce

Muitos tipos diferentes de incidentes de segurança podem ocorrer em sites de e-commerce. Veja a seguir alguns exemplos comuns e seus riscos:

Desligamentos do sistema

Isso acontece quando o site de e-commerce é fechado e fica indisponível devido a uma falha no servidor ou no sistema. Quando um site é desativado, ele pode perder vendas e a confiança dos clientes. Além disso, os esforços de recuperação podem gerar custos trabalhistas e financeiros.

A Information-technology Promotion Agency (IPA) fornece Diretrizes de segurança para criação e operação de sites de e-commerce que recomenda a preparação para essas situações por meio de backups regulares de dados, introdução de redundâncias, implementação de controle de acesso e utilização de logs.

De acordo com uma pesquisa realizada pela IPA e pela Comissão de Proteção de Dados Pessoais (PPC), a perda média de vendas devido ao fechamento de um site de e-commerce é estimada em ¥57 milhões. O custo médio de resposta a esse tipo de incidente é estimado em ¥240 milhões.

Alteração do site

Se vírus ou malware se infiltrarem nos terminais ou servidores do administrador, podem causar danos aos sistemas ou aos dados. Uma empresa de e-commerce deve instalar software antivírus, atualizar regularmente os sistemas operacionais e o software e estabelecer um sistema de detecção de hackers.

De acordo com a National Police Agency (NPA), houve vários relatos de um crime chamado "web skimming". Isso envolve a incorporação de programas ilegais em sites legítimos de e-commerce para adquirir informações de cartão dos clientes.

Acesso não autorizado

Isso ocorre quando um terceiro obtém acesso não autorizado a telas administrativas ou bancos de dados para visualizar, alterar ou excluir dados. As diretrizes de segurança mencionadas acima incluem as principais contramedidas, como autenticação multifatorial, avaliação de vulnerabilidades, controle de acesso e detecção de anomalias de login.

Os sites de e-commerce criados com software de processo aberto (OSS) podem estar particularmente em risco. De acordo com a IPA, 97% dos sites de e-commerce afetados foram criados internamente, sendo que muitos deles utilizam sistemas OSS. Embora os sistemas OSS sejam convenientes, suas vulnerabilidades também são mais fáceis de serem descobertas. Por exemplo, se as correções não forem aplicadas pronta ou corretamente, um sistema OSS pode facilmente se tornar um alvo para acesso não autorizado.

Ransomware

Esse ataque cibernético envolve agentes fraudulentos que criptografam sistemas ou dados e exigem dinheiro em troca de sua restauração. As empresas podem reduzir o risco desse ataque por meio de backups regulares, armazenamento separado, restrições de privilégios de administrador e treinamento de recuperação.

De acordo com um relatório da Japan Network Security Association (JNSA), os ataques de ransomware causaram perdas financeiras de ¥10 milhões a várias centenas de milhões. Isso inclui empresas de pequeno e médio porte, com alguns casos relatando perdas superiores a ¥100 milhões.

Diretrizes de segurança para sites de e-commerce

As Security Guidelines for Building and Operating Ecommerce Sites (Diretrizes de segurança para criação e operação de sites de e-commerce) publicadas pela IPA fornecem diretrizes de segurança específicas para a criação e operação seguras de sites de e-commerce. Elas são destinadas principalmente a pequenas e médias empresas e fornecedores independentes.

As principais diretrizes são:

  • Evitar incidentes de segurança.
  • Corrigir as vulnerabilidades de design e das operações.
  • Fornecer suporte à equipe não especializada.
  • Esclarecer as responsabilidades entre as partes relevantes para os sistemas internos e terceirizados.

As diretrizes de segurança são mais do que um manual técnico. Em vez disso, unem o trabalho prático à tomada de decisões, enfatizando a importância das medidas de segurança como decisões gerenciais. Além disso, as diretrizes fornecem exemplos de causas, efeitos e riscos de incidentes de segurança que ocorreram ou poderiam ocorrer.

Causa​

Efeito e risco

Ter vulnerabilidades no sistema de gerenciamento de conteúdo (CMS) que levam à adulteração do site

Os dados pessoais, incluindo informações de cartões de crédito, podem ser vazados

Vazamento de IDs e senhas de telas de administração

Terceiros podem visualizar ou excluir dados confidenciais dos clientes

Confiar a avaliação da configuração e das vulnerabilidades do sistema a prestadores de serviços sem instruir a equipe interna

Quando ocorre um incidente, a causa pode não ser facilmente identificada, prolongando o incidente e seu impacto

Disponibilizar publicamente o ambiente de desenvolvedor e as páginas de teste

Os possíveis agentes fraudulentos podem visualizar as vulnerabilidades, deixando o sistema suscetível a invasões

Negligenciar atualizações e configurações de SSL (Secure Sockets Layer)

Os riscos de "ataques man-in-the-middle" e interceptação de comunicações aumentam

Em todos os casos de incidentes de segurança, a principal causa é a falta de clareza sobre quem é responsável e o que precisa ser protegido. As diretrizes dividem as medidas de segurança em três categorias, com base nas partes envolvidas na prevenção de incidentes. Elas também esclarecem e explicam as funções de cada parte.

Os operadores de sites de e-commerce devem:

  • Decidir sobre a criação do local e as políticas de construção e operação
  • Esclarecer a terceirização e a seleção, os contratos e o gerenciamento de fornecedores
  • Estabelecer uma política de proteção das informações do cliente

Os fornecedores de desenvolvimento e construção devem:

  • Elaborar e implementar sistemas livres de vulnerabilidade
  • Realizar verificações e testes
  • Atualizar e gerenciar o software

Os fornecedores de operação e manutenção devem:

  • Realizar suporte regular de vulnerabilidade para servidores e software
  • Estabelecer sistemas de gerenciamento e monitoramento de logs
  • Estabelecer um sistema de resposta em caso de acidente

Basic security measures for ecommerce sites

For many businesses, it can seem complicated to update and strengthen security measures. However, it’s important to start with simple steps that can be done immediately, such as strengthening passwords and reviewing sharing settings. Then, businesses can gradually build robust security systems. Here are some specific measures ecommerce businesses should consider:

Integrate Three-Domain Secure (3D Secure) 2.0 for identity verification

3D Secure 2.0 is a system that enhances identity authentication for credit card payments. One-time passcodes and biometric authentication can prevent unauthorized payments that use impersonation tactics.

This system also offers an improved customer experience compared to conventional password methods, while balancing security and convenience. This has made it increasingly popular among credit card companies and payment service providers. Ecommerce sites that have not yet integrated 3D Secure are at risk of chargebacks and transaction refusals. Therefore, ecommerce businesses should consider adopting it early on.

Compliance with Payment Card Industry Data Security Standard (PCI DSS)

PCI DSS is an international security standard for businesses that handle credit card information. This standard provides detailed specifications, such as information encryption, access control, and log management. Strict compliance is required when handling card information in-house.

However, managing all of these requirements in-house can be a significant burden, so many businesses use payment agents that are PCI DSS–compliant to reduce this burden while still meeting the requirements.

Implement credit card fraud detection

Fraudulent transactions are not always obvious at first. Often, businesses discover them after the purchases have been completed. This makes it important to have a system that detects and responds to signs of fraudulent transactions in real time, especially before transactions are made or settled. Here are a few qualities that should flag transactions as suspicious:

  • Access from areas with a history of fraud
  • Consecutive card entries from the same Internet Protocol (IP) address
  • Mismatched customer information and cardholder name
  • Multiple high-value purchases in a short period of time

Using a system that automatically blocks or holds transactions for review when they are classified as risky can prevent damage before it occurs.

Como responder a uma ameaça à segurança no e-commerce

A implementação de medidas de segurança pode ajudar a reduzir a ocorrência de incidentes de segurança. Entretanto, o aumento no número de casos de fraude significa que a maioria das empresas provavelmente sofrerá algum tipo de violação de segurança. Isso pode ocorrer mesmo que a empresa coloque em prática contramedidas. Aqui estão algumas maneiras de responder a incidentes de segurança específicos:

Infecção por vírus ou ransomware

Pare de usar o computador ou servidor infectado e desconecte-o da rede. Depois disso, relate o incidente aos parceiros de negócios e clientes afetados, bem como a todos os órgãos públicos relevantes. Por exemplo, no Japão, as infecções por vírus e ransomware devem ser informadas ao IPA. Em seguida, prossiga com seu trabalho de investigação e restauração. Fazer backup dos dados regularmente pode minimizar os danos causados por esse tipo de incidente.

Vazamentos de dados

Os vazamentos de dados incluem acesso não autorizado a redes, atividades ilegais cometidas por funcionários (ou seja, má conduta interna), e-mails mal direcionados e publicação acidental na web. Se isso acontecer, confirme o tipo e a quantidade de dados que vazaram, bem como o status das medidas de segurança, como criptografia e restrições de acesso.

Em caso de acesso não autorizado, desconecte imediatamente o dispositivo da rede e suspenda os serviços. Isso é importante porque há o risco de vazamento de dados pessoais ou informações confidenciais. Se houver vazamento de informações de cartão de crédito ou de conta, entre em contato com a empresa de cartão de crédito e solicite a suspensão da(s) conta(s).

No caso de má conduta interna, restrinja o acesso aos sistemas internos e preserve os comprovantes, como computadores pessoais. Se os e-mails tiverem sido enviados aos destinatários errados, entre em contato com eles e solicite que excluam os e-mails. Se as informações tiverem sido publicadas por engano no site da empresa, exclua-as imediatamente ou restrinja o acesso para que não possam ser visualizadas fora da organização.

Depois de tomar essas medidas, não se esqueça de relatar e notificar as partes relevantes, conforme necessário:

  • Se as informações vazadas, como informações de contas, puderem ser usadas indevidamente, alerte as pessoas físicas e as empresas afetadas para evitar danos secundários.
  • Se houver vazamento de dados pessoais, informe o PPC.
  • Se a causa do vazamento de informações for de natureza criminosa, como acesso não autorizado ou má conduta interna, informe os detalhes à polícia.
  • Se a causa do vazamento de informações for um vírus de computador ou acesso não autorizado, informe o incidente ao escritório de notificação da IPA.

Em seguida, investigue o escopo, a causa e os danos causados pelo vazamento de informações. Depois, prossiga com os esforços de recuperação para evitar a recorrência.

Desligamento do sistema

Se houver um desligamento do sistema, pode ser difícil identificar imediatamente a causa. As possíveis causas incluem falha geral do equipamento e violações de segurança, como ataques cibernéticos e bugs de software. Se a causa for desconhecida, a empresa deve reagir como se fosse um problema de segurança.

Se houver mau funcionamento do sistema, falhas, desligamentos ou sinais iminentes de que isso possa ocorrer, entre em contato com o administrador do sistema ou com o responsável pela segurança das informações. Dependendo da situação, a parte responsável poderá fazer a troca ou o desligamento dos servidores, conforme necessário.

Depois disso, entre em contato com os parceiros da empresa e informe o incidente aos órgãos públicos relevantes. Se houver um vírus ou acesso não autorizado, informe ao escritório de notificação do IPA. Investigue a causa do incidente e prossiga com a restauração e a prevenção de recorrência.

Como as empresas de e-commerce no Japão podem melhorar a segurança?

As medidas de segurança no e-commerce são importantes para proteger as operações diárias. Independentemente do tamanho da empresa, a fraude com cartões e o vazamento de dados são sempre um risco que as empresas precisam atuar para combater.

Nos últimos anos, ficou mais fácil adotar e integrar uma variedade de medidas - como o 3D Secure - para fortalecer a verificação de identidade (ou seja, procedimentos Know Your Customer [KYC]). As empresas também podem seguir os padrões do setor - como o PCI DSS - e introduzir serviços de detecção de fraude. É importante se manter vigilante e tomar medidas proativas com antecedência. O fato de uma empresa não ter enfrentado problemas de segurança não significa que deva ser complacente. Os proprietários de empresas devem aprimorar as medidas de segurança de seus sites de e-commerce para garantir a confiabilidade e a continuidade de seus negócios de e-commerce.

Como o Stripe Radar pode ajudar

O Stripe Radar usa modelos de IA para detectar e prevenir fraudes, treinados com dados da rede global da Stripe. Ele atualiza continuamente esses modelos com base nas últimas tendências de fraude, protegendo sua empresa à medida que a fraude evolui.

A Stripe também disponibiliza o Radar for Fraud Teams, que possibilita que os usuários criem regras personalizadas voltadas a cenários de fraude específicos aos seus negócios, além de oferecer acesso a informações avançadas de fraude.

O Radar pode auxiliar sua empresa a:

  • Prevenir perdas por fraude: a Stripe processa anualmente mais de US$ 1 trilhão em pagamentos. Essa escala exclusiva permite que o Radar detecte e evite fraudes com precisão, economizando seu dinheiro.
  • Aumentar a receita: os modelos de IA do Radar são treinados com dados de contestações reais, informações de clientes, dados de navegação e mais. Isso permite que o Radar identifique transações arriscadas e reduza falsos positivos, aumentando sua receita.
  • Economizar tempo: o Radar é integrado à Stripe e exige zero linhas de código para ser configurado. Você também pode monitorar o desempenho de sua prevenção de fraudes, criar regras e mais em uma única plataforma, aumentando a eficiência.

Saiba mais sobre o Stripe Radar ou comece hoje.

O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.

Vamos começar?

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários, ou fale conosco para criar um pacote personalizado para sua empresa.
Radar

Radar

Combata fraudes com a força da rede da Stripe.

Documentação do Radar

Use o Stripe Radar para proteger sua empresa contra fraudes.